Repousser une cyberattaque n’est plus seulement une question d’informatique. Sur les plans organisationnel et stratégique également, les organisations peuvent prendre de nombreuses mesures pour réduire les temps d’arrêt.
« Il existe deux types d’entreprises : celles qui ont été piratées et celles qui le seront », commence Christophe Van Bortel, chef de l’unité de lutte contre la cybercriminalité d’Anvers. Cette citation mondialement connue de l’ancien directeur du FBI, Robert Mueller, se rapproche de la vérité après chaque cyberattaque. La question n’est pas de savoir si, mais quand votre entreprise sera touchée par une cyberattaque.
« La victoire appartient à ceux qui apprennent le plus vite », a déclaré Theo Francken au début de l’événement Cybernova à Anvers. Il a appelé les experts en cybersécurité à rejoindre la Cyber Force en tant qu’officier de réserve.
Non seulement les entreprises doivent rester cyber-résilientes et se réinventer, mais nous ne devons pas non plus perdre de vue l’aspect organisationnel. Aujourd’hui, la cybersécurité est plus qu’une simple conversation technique.
Cliquer n’est pas le problème
« Cessons de rejeter la faute sur l’utilisateur final lors d’une cyberattaque », plaide Mikko Hyppönen, Chief Research Officer chez Sensofusion, lors de son allocution à l’événement Cybernova à Anvers. « Les gens font des erreurs. Un « utilisateur stupide » a cliqué sur le mauvais lien, a ouvert le mauvais fichier ou s’est fait piéger par une attaque de phishing et a perdu ses identifiants de connexion. Je déteste ces phrases », poursuit-il.
« Il est totalement injuste d’exiger de chacun qu’il soit un expert en sécurité. Si un lien apparaît sur lequel l’utilisateur ne doit absolument pas cliquer, pourquoi apparaît-il sur son écran ? »
Il est convaincu que nous ne devons pas faire porter la responsabilité à l’utilisateur final, mais la transférer aux fabricants de systèmes d’exploitation, aux fournisseurs de sécurité et aux entreprises de télécommunications.
Êtes-vous prêt ?
Lorsque des personnes malveillantes parviennent tout de même à pénétrer dans un système via « le maillon faible » ou par une autre voie, une organisation peut encore prendre de nombreuses mesures pour, par exemple, minimiser les temps d’arrêt et limiter les dégâts. Toutefois, cette préparation numérique attendue n’est pas en phase avec la préparation effective.
Selon les chiffres de Dell, 99,5 % des entreprises interrogées affirment disposer d’une stratégie de cybersécurité. Seules 57 % d’entre elles ont réussi à se rétablir lors d’un incident (test). « De plus, 63 % estiment que la direction surestime leur état de préparation face à une cyberattaque majeure », ce que l’on appelle aussi la resilience debt (dette de résilience). « C’est la différence entre la manière dont les dirigeants évaluent leur préparation et la préparation réelle sur le terrain », explique Koen André Segers. Il est Cybersecurity Lead & Global Field Tech Office chez Dell Technologies.
C’est là que réside le plus grand danger selon lui. « Quand le risque fait-il surface ? Au moment où vous subissez une attaque. »
Évaluation des dommages
Le fait que la préparation réelle des entreprises face à une cyberattaque soit encore trop faible ressort également des chiffres de la Police Judiciaire Fédérale. En 2024, 164 attaques par rançongiciel ont été signalées. « Cela représente une moyenne de trois par semaine », précise Bjorn Clevers, chef de l’équipe de lutte contre la cybercriminalité de la Police Judiciaire Fédérale de Flandre-Occidentale.
50 % des entreprises flamandes ont été victimes d’une cyberattaque en 2024. Dix pour cent de ces attaques ont réussi, ce qui correspond à 37 000 entreprises. « Le préjudice financier par attaque varie de cent mille euros à 100 millions d’euros. Le préjudice total en Belgique en 2024 s’est élevé de 14,6 millions à 14,6 milliards d’euros. »
Plus qu’un problème informatique
Lors d’une cyberattaque, on examine souvent immédiatement les problèmes de nature technique, bien que les entreprises se heurtent également à de nombreux autres obstacles. En marge de l’événement cyber, Segers énumère les lacunes les plus courantes des entreprises lorsqu’elles sont touchées par une cyberattaque.
La cyber-résilience est une responsabilité commerciale stratégique, plus qu’une préoccupation technique.
Koen André Segers, Cybersecurity Lead & Global Field Tech Office chez Dell Technologies
« Le principal obstacle est l’absence d’un plan de réponse aux incidents bien documenté et testé. Les entreprises qui n’ont pas un tel plan doivent prendre des décisions sous un stress énorme, ce qui conduit presque toujours à des erreurs et à une perte de temps précieuse. »
En outre, de nombreuses entreprises ne savent pas quels systèmes elles considèrent comme critiques ni quelles sont les interdépendances, ce qui rend la récupération beaucoup plus longue que nécessaire. De plus, elles ne savent pas qui appeler au moment de l’attaque, car elles n’ont pas désigné de partenaires de récupération au préalable. Ou bien elles l’ont fait, et les coordonnées se trouvent uniquement sur SharePoint, qui est désormais lui aussi chiffré.
La communication interne risque également de mal se passer sous l’effet du stress, car aucune tâche n’est répartie et il n’y a aucune clarté sur qui peut prendre les décisions. En résumé, « la cyber-résilience n’est pas un problème informatique, mais une responsabilité stratégique de l’entreprise qui doit être abordée au plus haut niveau, de préférence bien avant qu’une attaque ne survienne », déclare Segers.
En outre, un récent rapport de Palo Alto Networks montre que la majorité des cyber-intrusions ne sont pas le résultat de lacunes technologiques, mais de choix opérationnels au sein des organisations. C’est surtout le manque de gestion cohérente des identités et une surveillance trop limitée qui font le jeu des cybercriminels.
Organisation et stratégie
Segers ne veut pas dire par là que les solutions techniques sont sans importance, bien que les véritables défis se situent aux niveaux organisationnel et stratégique. Il énumère quelques recommandations qui peuvent déjà faire une grande différence :
- Conservez un exemplaire physique du plan de réponse aux incidents : lors d’une attaque, les systèmes numériques peuvent être inaccessibles.
- Désignez des partenaires de récupération à l’avance et contactez-les de manière proactive : vous ne perdrez ainsi pas de temps précieux à chercher qui appeler au pire moment.
- Assurez une surveillance centralisée de tous les systèmes : l’enquête forensique après une attaque pourra ainsi se dérouler beaucoup plus rapidement.
Geert Baudewijns, PDG de Secutec et négociateur expérimenté avec les cybercriminels, a un conseil supplémentaire : « Ne conservez PAS les données de votre cyber-assurance sous forme numérique, sinon les pirates sauront à quel point vous êtes assuré et pour quel montant. »
De tout temps
« Les cybercriminels sont comme les autres criminels, ils seront toujours là. C’est quelque chose de tout temps », déclare Hyppönen. Nous ne pouvons donc rien changer du côté des attaquants, mais nous pouvons agir sur notre ligne de défense. Non seulement vos systèmes de cybersécurité doivent être au point et évoluer, mais votre entreprise doit également être préparée sur le plan organisationnel.
La question n’est pas de savoir si vous serez touché par une cyberattaque, mais quand. L’accent doit être mis sur le renforcement de la cyber-résilience plutôt que sur la désignation d’un bouc émissaire. Si nous voulons changer le monde, la technologie est le meilleur moyen d’y parvenir », conclut Hyppönen.